研究人员通过3D打印攻破指纹认证

日期: 2020-04-12 作者:Arielle Wadman翻译:邹铮 来源:TechTarget中国 英文

根据思科Talos的最新研究,指纹认证通常仅对普通用户有效,但对于身份更为重要的用户或包含敏感数据的设备而言,指纹认证并没有用。

在4月8日发布的博客文章《指纹克隆:神话还是现实?》中,思科Talos研究员Paul Rascagneres以及技术主管兼安全研究员Vitor Ventura得出结论,“3D打印技术可以欺骗电话和计算机指纹扫描仪。”他们收集了真实人物的真实指纹-包括臭名昭著的黑帮成员Al Capone,然后用3D打印机创建了指纹模具。

根据这项研究现实,在使用假指纹的过程中,Rascagneres和Ventura的平均成功率约为80%。在视网膜扫描和面部识别技术之前,指纹扫描是最常见的生物识别方式。

Ventura说:“我们想看看指纹认证是否安全。”

通过利用Rascagneres作为3D艺术家的特长,这两位研究人员测试了不同品牌和设备模型,并开发了与实际情况相匹配的威胁模型。

Rascagneres说:“随着最近生物特征信息的泄漏以及3D打印技术的进步,以及指纹认证的大量使用,我们想知道创建伪造指纹的难度有多大。我们有两个主要目标:尽可能接近现实世界的体验,并与世界分享我们的过程,并说明在低预算的情况下完成这项工作的难度。”

研究人员在博客中写道,他们以“预算限制为前提,看看这是否可以在低预算情况下完成,还是需要由国家资助的参与者完成。”

Rascagneres说:“在我们的预算情况下,这很耗时。每次尝试都需要花费数小时。而资金雄厚的攻击者可以获得更好更昂贵的打印设备,例如医疗设备。通过更大的预算,我们认为这个过程将得到改善和更加准确。”

在进行研究时,他们发现他们的3D打印方法无法攻破Windows Hello生物特征认证。

Rascagneres说:“我们认为微软算法更严格。指纹认证需要控制指纹上的多个点,我们认为Microsoft Windows比其他设备需要验证更多的点。”

该博客还提到了苹果公司,并指出“除了苹果以外,大多数传感器都是由第三方开发的”,这是一个优势。

Rascagneres说:“从实现的角度来看,更容易成为整个协议栈的所有者。”

这并不是研究人员第一次质疑生物识别认证的有效性。例如,2018年,纽约大学丹顿分校和密歇根州立大学的研究人员开发了DeepMasterPrints,这是AI生成的伪造指纹图像,可能蒙骗生物识别传感器。

而在两年后, Rascagneres和Ventura发现,指纹技术仍未发展到足以应对所有提议的威胁模型。

现在,攻击者可以从由机器学习生成的高级攻击(例如DeepMasterPrints)转移到低级的廉价的打印攻击。

Rascagneres和Ventura在博客中写道:“3-D打印技术使任何人都可以创建伪造的指纹。不仅如此,还可以利用适当的资源大规模地进行伪造。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 安全运营中心的8大优势

    安全运营中心(SOC)是抵御攻击和数据泄露事故的第一道防线之一。在此命令中心内工作的信息安全员工可以创建、部署 […]

  • Sophos:“重量级”勒索软件索要高额赎金

    顶级勒索软件团伙正在变得越来越复杂,他们采用新的逃避技术,也在索要更多的赎金。 根据最新发布的《Sophos […]

  • 5个安全运营中心最佳做法

    研究数据表明,安全运营中心(SOC)可以显著推动企业的网络安全计划,这使SOC成为有效企业网络安全计划的基石。 […]

  • 了解零信任-SDP关系

    对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好。这里的重点不是:没有什么可信 […]